Das Active Directory ist das Herzstück vieler Unternehmensnetzwerke. Wird es kompromittiert, geraten IT-Abteilungen in höchste Alarmbereitschaft. Paula Januszkiewicz zeigte auf der IT-Defense 2025 konkrete Maßnahmen.
Paula Januszkiewicz, Gründerin und CEO von Cqure, einem polnischen Unternehmen, dass sich auf Cybersicherheitsdienstleistungen spezialisiert hat, bei der IT-Defense 2025
(Bild: cirosec GmbH)
Wird das Active Directory (AD) kompromittiert, geraten IT-Abteilungen in höchste Alarmbereitschaft. Denn ein Angriff auf das AD bedeutet, dass Cyberangreifer möglicherweise volle Kontrolle über Benutzerkonten, Systeme und kritische Unternehmensdaten erlangen. Unternehmen stehen dann vor der Herausforderung, den Schaden zu begrenzen, die Angreifer aus dem System zu drängen und die Infrastruktur sicher wiederherzustellen.
Laut einer aktuellen Analyse von Paula Januszkiewicz, einer international anerkannten IT-Sicherheitsexpertin und CEO von Cqure, ist eine schnelle und koordinierte Incident-Response-Strategie entscheidend. In ihrem Vortrag auf der IT-Defense 2025 in Leipzig stellte sie einen detaillierten Plan vor, um nach einem AD-Angriff die Kontrolle zurückzugewinnen.
Erste Schritte nach einem Angriff auf das Active Directory
Ein Angriff auf das AD erfordert schnelles Handeln. Unternehmen müssen umgehend ihre Backup-Strategie verfolgen, um das System wiederherzustellen und gleichzeitig alle wichtigen Beweise für forensische Analysen zu sichern. Zunächst sollte eine Sicherung des Domain Controllers (DC) aus der Zeit vor dem Cyberangriff wiederhergestellt werden. Falls keine unkompromittierte Sicherung existiert, muss ein manuelles Bereinigen der AD-Struktur erfolgen. Zusätzlich sollten aktuelle Backups des kompromittierten DCs erstellt werden, da sie wichtige forensische Informationen enthalten.
Um weiteren Schaden zu verhindern, ist es Januszkiewicz zufolge unerlässlich, alle Benutzerpasswörter zurückzusetzen – und zwar zweimal, im Idealfall einmal vom Admin und einmal vom Nutzer. Dieser Schritt sei notwendig, um sicherzustellen, dass Angreifer keine zwischengespeicherten Zugangsdaten mehr nutzen können. Gleiches gilt für Administrator-Konten und Service-Accounts, da diese oft das primäre Ziel eines Angriffs sind. Besondere Aufmerksamkeit verdient das KRBTGT-Konto (Kerberos Ticket Granting Ticket), das für die Kerberos-Authentifizierung genutzt wird. Ein kompromittiertes KRBTGT-Konto ermöglicht es Angreifern, ein Golden Ticket zu erstellen – eine Technik, mit der sie sich unbegrenzt Zugang zum Netzwerk verschaffen können. Auch hier muss das Passwort zweimal geändert werden, wobei die genaue Anleitung befolgt werden sollte, damit keine Probleme bei der Replikation auftreten.
Nicht zuletzt müssen auch Computer-Konten zurückgesetzt werden. Denn Angreifer nutzen oft Pass-the-Hash-Techniken, um sich persistenten Zugang zu verschaffen. Zudem können Kriminelle die standardmäßige Passwortänderungsfrist, die normalerweise 30 Tage beträgt, manipulieren, um ihren Zugriff auf das Netzwerk langfristig zu sichern.
Nachdem die dringendsten Maßnahmen umgesetzt wurden, beginnt die eigentliche Aufräumarbeit. Es gilt, alle möglichen Hintertüren zu identifizieren und zu schließen, damit Angreifer nicht erneut ins System eindringen können. Ein wichtiger Schritt ist das Zurücksetzen aller LAPS-Passwörter. Microsofts Local Administrator Password Solution (LAPS) speichert Administrator-Passwörter automatisch und sollte nach einem Angriff vollständig erneuert werden. Ebenso müssen die Berechtigungen des AdminSDHolder-Objekts geprüft und zurückgesetzt werden, da Angreifer dieses oft manipulieren, um sich dauerhaft Administratorrechte zu sichern.
Besonders kritisch ist Januszkiewicz zufolge die Active-Directory-Zertifizierungsstelle (ADCS). Manipulierte Zertifikate könnten es Angreifern ermöglichen, sich weiterhin als berechtigte Benutzer auszugeben. Daher müssen alle Zertifikate widerrufen und neu ausgestellt werden. Um sicherzugehen, dass keine weiteren Angriffsvektoren bestehen, sollten geplante Aufgaben und WMI-Filter (Windows Management Instrumentation) überprüft werden. Oft hinterlassen Angreifer persistente Malware über Scheduled Tasks oder WMI-Events. Auch Autorun-Einträge in der Registry müssen kontrolliert werden, da dort Schadsoftware eingebettet sein könnte.
Eine oft übersehene Gefahr sind zudem manipulierte Gruppenrichtlinien (GPOs). Angreifer nutzen diese, um Sicherheitseinstellungen zu deaktivieren oder bösartige Skripte im Netzwerk zu verbreiten. Jede GPO sollte daher sorgfältig überprüft und gegebenenfalls zurückgesetzt werden. Und auch Drucker und Druckertreiber sind weitere Angriffsvektoren. Unternehmen sollten alle Druckertreiber und -objekte auf Anomalien untersuchen. Da viele Unternehmen ihre Infrastruktur bereits mit Azure AD verknüpft haben, müssen auch Token-Signatur- und Entschlüsselungszertifikate in den Active Directory Federation Services (ADFS) erneuert werden. Besonders kritisch sind Service-Control-Manager-Sicherheitsrichtlinien, da Angreifer oft Systemdienste missbrauchen, um sich versteckt im Netzwerk zu halten.
Zumindest zeigt ein erfolgreicher Cyberagriff auf das Active Directory meist auf, wo Sicherheitslücken im Netzwerk bestehen, schließt Januszkiewicz. Deshalb müssen Unternehmen nach der Wiederherstellung ihre Systeme und das Active Directory proaktiv härten, um zukünftige Attacken zu verhindern. Als ersten Schritt benennt die Expertin die Überprüfung aller Gruppenmitgliedschaften anhand sogenannter Baselines, die den normalen, sicheren Zustand des Systems beschreiben. Anhand dieser Baselines lassen sich unerwünschte Berechtigungsänderungen identifizieren. Tools wie PingCastle und das MITRE ATT&CK Framework helfen dabei, potenzielle Schwachstellen zu erkennen und das AD gezielt zu härten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Besonders wichtig ist die Überprüfung von Anmelde-Skripten in Gruppenrichtlinien und System Volumes. Diese missbrauchen Angreifer gerne, um sich selbst persistente Zugriffsrechte zu verschaffen. Zusätzlich sollten alle Cloud-Integrationen mit Azure AD abgesichert werden. Dazu gehört das Ändern der Anmeldeinformationen für Azure AD Connect, um sicherzustellen, dass Angreifer keinen Zugriff mehr auf hochprivilegierte Konten haben. Nach einem Angriff müssen Unternehmen außerdem alle Benutzerpasswörter ändern und erzwingen, dass sich jeder Mitarbeiter erneut authentifiziert. Hierzu empfiehlt Januszkiewicz die Funktion „Revoke-AzureADUserAllRefreshToken“, um alle bestehenden Tokens zurückzusetzen.
Nicht zu vergessen ist die Überprüfung aller API-Berechtigungen und OAuth-Token in Azure AD. Denn Cyberkriminelle könnten OAuth-Token missbrauchen, um langfristigen Zugriff auf Cloud-Ressourcen zu behalten. Auch PKI-Zertifikate und NTAuth-Registrierungen müssen geprüft werden, um sicherzustellen, dass keine gefälschten Zertifikate im Umlauf sind.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/d2/80d2f021fd7b857615cdc90ea6ec40ff/0128893725v1.jpeg "In dieser Folge von IT ImPuls sprechen Natalie Forell und Mihriban Dincel über das brisante Thema NIS2. (Bild: Carin Böhm )")
:quality(80)/p7i.vogel.de/wcms/b0/87/b08746321b6cfef57c5bff16ab6994e2/0128603799v2.jpeg "Künstliche Intelligenz verändert Arbeitsprozesse und Kompetenzanforderungen in immer mehr Berufsgruppen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ed/4aedcc54c3302939b1296a75a80dcf02/0128867288v1.jpeg "Eine ganze Reihe neuer Gaming-Notebooks aus den Serien Raider, Stealth und Crosshair stellte MSI auf der CES in Las Vegas vor, teilweise mit Intels Panther-Lake-Prozessor. (Bild: MSI)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/2d/b0/2db024a7c100b93fe4e2183a526c4b1d/0128646643v2.jpeg "2026: KI denkt mit, handelt selbstständig – und verändert, wie wir arbeiten. (Bild: Reply)")
:quality(80)/p7i.vogel.de/wcms/9f/dd/9fdd85894bed1e083d823c08adbf0840/0128747016v2.jpeg "Das Unternehmen XGIMI präsentiert mit MemoMind seine erste KI-Brille. (Bild: © XGIMI )")
:quality(80)/p7i.vogel.de/wcms/db/b7/dbb7f1a221f31e00281e92dac2fb4e5c/0128874056v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/e6/68e65d6a3bdb7/1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers.png "1zu1-snt-heidelberg-2025-eintrittskarten-ticket-sichers (www.mike-bergmann.com/hd-snt25)")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1297400/1297440/original.jpg "Welche verbesserten Sicherheitsmöglichkeiten Azure Active Directory bietet, zeigen wir in diesem Video-Tipp. (Julien-Eichinger - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1266500/1266596/original.jpg "Domänencontroller, privilegierte Accounts und Admin-Konten sind das Lieblingsziel von Hackern und Cyberkriminellen. Es gilt also diese Systeme und Konten im Active Directory besonders sorgfältig abzusichern. (REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/95/46/954646c31b77dba5388a3161f6305b1c/0125282828v2.jpeg "KI ist in aller Munde, aber auch in vielen Händen: Cyberkriminelle greifen immer häufiger auf KI zurück und erstellen mit LLMs täuschend echte Phishing-Mails oder Deepfakes. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/b1/76b18bc11b9ddfa0480e1eccd7afd744/0127810730v1.jpeg "Wer Windows 11 ohne Microsoft-Konto nutzt, verzichtet auf Cloud-Zwang, gewinnt Datenschutz und reduziert Angriffsflächen. Vorteile, Nachteile und Umstellung im Überblick. (Bild: Canva / KI-generiert)")